Estoy intentando visitar https://www.duluthtrading.com/y recibo un error de certificado que no es de confianza en Windows 7. Esto sucede tanto en IE como en Chrome (ya que ambos usan el almacén de certificados de Windows).
Aquí está la cadena de certificados:
- Autoridad de certificación raíz universal de VeriSign
- Servidor seguro Symantec Clase 3 SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
- www.duluthtrading.com(6e 70 94 1a e6 39 88 9a 64 fa cb 76 34 af 62 e6 43 83 66 cf)
- Servidor seguro Symantec Clase 3 SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
El problema es que no se confía en la CA raíz (Autoridad de certificación raíz universal de VeriSign) en este sistema problemático. Esta máquina está actualizada a través de Windows Update.
Busqué otra máquina virtual con Windows 7 (que estaba menos actualizada) y el certificado estaba allí, en "Autoridades de certificación raíz de terceros". Esta VM tenía menos certificados.
¿Por qué falta este certificado de CA?
¿Cómo puedo arreglar esta máquina?
Actualización: en el registro de la aplicación de Windows, veo los siguientes errores:
Event 4101, CAPI2
Failed auto update retrieval of third-party root certificate from: <http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4.crt> with error: 12007 (0x2ee7).
Respuesta1
Normalmente, no deberías tener que preocuparte por problemas como este.
Cuando se le presente un certificado emitido por una autoridad raíz que no es de confianza, su computadora se comunicará con el sitio web de Windows Update para ver si Microsoft ha agregado la CA a su lista de autoridades confiables. 1
VerMicrosoftKB 2328240: "El ID de evento 4107 o el ID de evento 11 se registra en el registro de la aplicación en Windows y en Windows Server"
Causa- Este error se produce porque el certificado del publicador de la lista de confianza de certificados de Microsoft expiró. Existe una copia de la CTL con un certificado de firma caducado en la carpeta CryptnetUrlCache.
Hay una descarga "Solucionarlo por mí" disponible en esa página, o instrucciones para solucionar el problema manualmente.
Después de aplicar la actualización y reiniciar, la próxima vez que visite el sitio, su computadora debería descargar automáticamente el certificado de CA. Reiniciar el navegador y volver a visitar el sitio debería ser exitoso.
1 - Esto fue parafraseado de la descripción que se encuentra en el Editor de políticas de grupo (gpedit.msc): Plantillas administrativas/Sistema/Configuración de comunicación de Internet/Desactivar la actualización automática de certificados raíz